Sử dụng WEVTUTIL để quản lý các bản ghi sự kiện

Windows Vista và Windows Server 2008 ra mắt với Event Viewer mới được sửa lại cũng như một số công cụ bổ sung, thực sự làm cho bạn dễ dàng hơn trong sử dụng Event Viewer, giúp cho việc quản lý thực sự dễ dàng.
Nội dung trích xuất từ tài liệu:
Sử dụng WEVTUTIL để quản lý các bản ghi sự kiệnSử dụng WEVTUTIL để quản lý các bản ghi sự kiệnNguồn:quantrimang.com Derek MelberChờ đợi và cuối cùng những gì mà Microsoft đã tốn nhiều thời gian vàcông sức nhằm cung cấp cho chúng ta một Event Viewer hữu dụng cũngđã được ra mắt. Windows Vista và Windows Server 2008 ra mắt với EventViewer mới được sửa lại cũng như một số công cụ bổ sung, thực sự làmcho bạn dễ dàng hơn trong sử dụng Event Viewer, giúp cho việc quản lýthực sự dễ dàng. Thêm vào với tùy chọn đăng ký mới mà Event Viewer hiệnđang có còn có một tiện ích dòng lệnh mới, đó chính là WEVTUTIL, tiện ích nàycho phép bạn có thể kiểm soát gần như mọi khía cạnh các bản ghi của EventViewer.Lệnh và cú pháp WEVTUTILDo lệnh WEVTUTIL có thể kiểm soát gần như mọi khía cạnh của Event Viewervà các bản ghi nên chúng có một số lượng khổng lồ các tham số cũng như khóachuyển đổi để kiểm soát các vấn đề chi tiết.Cấu trúc cú pháp của WEVTUTIL được cho dưới đây: wevtutil [{el | enum-logs}] [{gl | get-log} [/f: ]] [{sl | set-log} [/e:] [/i:] [/lfn:] [/rt:] [/ab:] [/ms:] [/l:] [/k:] [/ca:] [/c:]] [{ep | enum-publishers}] [{gp | get-publisher} [/ge: ] [/gm:] [/f: ]] [{im | install-manifest} ] [{um | uninstall-manifest} ] [{qe | query-events} [/lf:] [/sq:] [/q:] [/bm:] [/sbm:] [/rd:] [/f: ] [/l:] [/c:] [/e:]] [{gli | get-loginfo} [/lf:]] [{epl | export-log} [/lf:] [/sq:] [/q:] [/ow:]] [{al | archive-log} [/l:]] [{cl | clear-log} [/bu:]] [/r:] [/u:] [/p: ] [/a:] [/uni:]Cũng như bất cứ lệnh nào, các tham số đều có một số switch có tính bắt buộc,còn các thành phần khác hoàn toàn mang tính chất tùy chọn. Cú pháp này cũngrất quan trọng với các dấu hai chấm (:), các cú pháp khác thường sử dụngkhoảng trống giữa khóa chuyển đổi (switch) và đường dẫn (path), một số kháccần đến dấu trích dẫn (“ “). Bảng dưới đây sẽ mô tả mỗi tham số và giới thiệu cúpháp của các khóa chuyển đổi mang tính tùy chọn. Bạn có thể lấy thêm mô tảchi tiết hơn về các tham số cũng như tùy chọn từ trang Wevtutil của MicrosoftTechNet. Tham số M ô tả Hiển thị tên của tất cả các bản ghi, gồm có tất cả các bản ghi Windows mới cùng {el | enum-logs} với cú pháp của chúng. Cho phép chỉ định một bản ghi, sau đó sẽ hiển thị trạng thái của bản ghi. Trạng thái và thông tin sẽ bao gồm nội dung bản ghi {gl | get-log} [/f: ] được kích hoạt hay vô hiệu hóa, các hạn chế về kích thước của bản ghi cũng như đường dẫn đến nơi bản ghi được lưu. {sl | set-log} [/e:] Cho phép thay đổi các cấu hình chi tiết [/i:] [/lfn:] [/rt:] của bản ghi mà bạn chỉ định. [/ab:] [/ms:] [/l:] [/k:] [/ca:] [/c:] Hiển thị các bộ phát hành sự kiện (event) trên máy tính nội bộ. Những bộ phát hành {ep | enum- sự kiện là các thành phần có thể tạo sự publishers} kiện và sau đó phân phối chúng đến Event Viewer. Cho phép bạn chỉ định bộ phát hành sự {gp | get- kiện, sau đó sẽ hiển thị các thông tin cấu publisher} [/ge: ] hình của bộ phát hành sự kiện đó. [/gm:] [/f: ]] Lệnh này cho phép thu được các sự kiện {qe | query- events} [/lf:] [/sq:] đối với một bản ghi nào đó. Bản ghi có [/q:] [/bm:] [/sbm:] thể là từ event viewer, log file, hoặc sử dụng một truy vấn cấu trúc. Trong hầu hết [/rd:] [/f: ] [/l:] [/c:] các trường hợp bạn chỉ cần đánh tên bản [/e:] ghi thay cho đường dẫn. Nếu sử dụng tùy chọn /lf thì bạn cần nhập vào đường dẫn đến file bản ghi muốn đọc. Để sử dụng truy vấn cấu trúc, bạn phải sử dụng tham số /sq cùng với đường dẫn tới truy vấn cấu trúc. Cho phép thu thập các thông tin về bản ghi sự kiện hoặc các file bản ghi. Đây là {gli | get-loginfo} một lệnh rất tốt để có thể xem toàn bộ [/lf:] thông tin về bản ghi. Cho phép export các ...